Esercitazione: Instradare il traffico di rete con una tabella di route

Azure instrada il traffico tra tutte le subnet all'interno di una rete virtuale per impostazione predefinita. È possibile creare le proprie route per eseguire l'override del routing predefinito di Azure. Le route personalizzate sono utili quando, ad esempio, si vuole indirizzare il traffico tra subnet attraverso un'appliance virtuale di rete.

In questa esercitazione verranno illustrate le procedure per:

• Creare una rete virtuale e le subnet
• Creare un'appliance virtuale di rete che indirizza il traffico
• Distribuire le macchine virtuali (VM) in subnet diverse
• Creare una tabella di route
• Creare una route
• Associare una route a una subnet
• Indirizzare il traffico da una subnet a un'altra attraverso un'appliance virtuale di rete

Prerequisiti

Portale

• Un account Azure con una sottoscrizione attiva. È possibile creare un account gratuitamente.

PowerShell

• Un account Azure con una sottoscrizione attiva. È possibile creare un account gratuitamente.

Azure Cloud Shell

Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.

Per avviare Azure Cloud Shell:

Opzione	Esempio/Collegamento
Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell.
Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser.
Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure.

Per usare Azure Cloud Shell:

1. Avviare Cloud Shell.

2. Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.

3. Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.

4. Premere Invio per eseguire il codice o il comando.

Se si sceglie di installare e usare PowerShell in locale, per questo articolo è necessario il modulo Azure PowerShell 1.0.0 o versione successiva. Eseguire Get-Module -ListAvailable Az per trovare la versione installata. Se è necessario eseguire l'aggiornamento, vedere Installare e configurare Azure PowerShell. Se si esegue PowerShell in locale, è anche necessario eseguire Connect-AzAccount per creare una connessione con Azure.

CLI

Se non si ha un account Azure, creare un account gratuito prima di iniziare.

• Utilizzare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Introduzione ad Azure Cloud Shell.

  

• Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, considerare l'esecuzione dell'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l’interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Eseguire l'autenticazione ad Azure con l'interfaccia della riga di comando di Azure.

  • Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare e gestire le estensioni con l'interfaccia della riga di comando di Azure.

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

• Questo articolo richiede l'interfaccia della riga di comando di Azure versione 2.0.28 o successiva. Se si usa Azure Cloud Shell, la versione più recente è già installata.

Creare subnet

Per questa esercitazione sono necessarie una subnet della rete perimetrale e una subnet privata. La subnet DMZ è dove si distribuisce l'NVA e la subnet privata è dove si distribuiscono le macchine virtuali private a cui si desidera instradare il traffico. Nel diagramma subnet-1 è la subnet Pubblica usata per la macchina virtuale pubblica.

Portale

Creare un gruppo di risorse

1. Accedi al portale di Azure.

2. Nella casella di ricerca nella parte superiore del portale, immettere Gruppo di risorse. Selezionare Gruppi di risorse nei risultati della ricerca.

3. Selezionare [+] Create ([+] Crea).

4. Nella scheda Informazioni di base di Crea un gruppo di risorse immettere o selezionare le informazioni seguenti:

   Impostazione	valore
   Abbonamento	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Immettere test-rg.
   Region	Selezionare Stati Uniti orientali 2.

5. Selezionare Rivedi e crea.

6. Selezionare Crea.

Creare una rete virtuale

1. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.

2. Selezionare [+] Create ([+] Crea).

3. Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:

   Impostazione	valore
   Dettagli del progetto
   Abbonamento	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Nome	Immettere vnet-1.
   Region	Selezionare Stati Uniti orientali 2.

4. Selezionare Avanti per passare alla scheda Sicurezza.

5. Selezionare Avanti per passare alla scheda Indirizzi IP.

6. Nella casella spazio indirizzi in Subnetselezionare la subnet predefinita.

7. In Modifica subnet immettere o selezionare le informazioni seguenti:

   Impostazione	valore
   Dettagli subnet
   Modello di subnet	Lasciare l'impostazione predefinita Predefinito.
   Nome	Immettere subnet-1.
   Indirizzo iniziale	Lasciare l'impostazione predefinita 10.0.0.0.
   Dimensioni della subnet	Lasciare l'impostazione predefinita /24 (256 indirizzi).

8. Selezionare Salva.

9. Selezionare +Aggiungi una subnet.

10. In Aggiungi una subnet immettere o selezionare le informazioni seguenti:

    Impostazione	valore
    Dettagli subnet
    Modello di subnet	Lasciare l'impostazione predefinita Predefinito.
    Nome	Immettere subnet-private.
    Indirizzo iniziale	Immettere 10.0.2.0.
    Dimensioni della subnet	Lasciare l'impostazione predefinita /24 (256 indirizzi).

11. Selezionare Aggiungi.

12. Selezionare +Aggiungi una subnet.

13. In Aggiungi una subnet immettere o selezionare le informazioni seguenti:

    Impostazione	valore
    Dettagli subnet
    Modello di subnet	Lasciare l'impostazione predefinita Predefinito.
    Nome	Immettere subnet-dmz.
    Indirizzo iniziale	Immettere 10.0.3.0.
    Dimensioni della subnet	Lasciare l'impostazione predefinita /24 (256 indirizzi).

14. Selezionare Aggiungi.

15. Selezionare Rivedi e crea in fondo allo schermo e, quando la convalida ha esito positivo, selezionare Crea.

Distribuire Azure Bastion

Azure Bastion usa il browser per connettersi alle VM nella rete virtuale tramite Secure Shell (SSH) o Remote Desktop Protocol (RDP) usando i relativi indirizzi IP privati. Le macchine virtuali non necessitano di indirizzi IP pubblici, software client o configurazioni speciali. Per altre informazioni su Azure Bastion, vedere Azure Bastion.

Note

La tariffa oraria inizia dal momento in cui viene distribuito Bastion, a prescindere dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU. Se si distribuisce Bastion nel corso di un'esercitazione o di un test, è consigliabile eliminare questa risorsa dopo averla usata.

1. Nella casella di ricerca nella parte superiore del portale, immettere Bastion. Selezionare Bastions nei risultati della ricerca.

2. Selezionare [+] Create ([+] Crea).

3. Nella scheda Informazioni di base di Crea un bastion immettere o selezionare le informazioni seguenti:

   Impostazione	valore
   Dettagli del progetto
   Abbonamento	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Nome	Immettere bastion.
   Region	Selezionare Stati Uniti orientali 2.
   Tier	Selezionare Sviluppatore.
   Configurare le reti virtuali
   Rete virtuale	Selezionare vnet-1.
   Subnet	AzureBastionSubnet viene creato automaticamente con uno spazio indirizzi di /26 o superiore.

4. Selezionare Rivedi e crea.

5. Selezionare Crea.

PowerShell

Creare un gruppo di risorse con New-AzResourceGroup. Nell'esempio seguente viene creato un gruppo di risorse denominato test-rg per tutte le risorse create in questo articolo.

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
}
New-AzResourceGroup @rg

Creare una rete virtuale con New-AzVirtualNetwork. Nell'esempio seguente viene creata una rete virtuale denominata vnet-1 con il prefisso dell'indirizzo 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

Creare quattro subnet creando quattro configurazioni di subnet con New-AzVirtualNetworkSubnetConfig. Nell'esempio seguente vengono create quattro configurazioni di subnet per le subnet Public, Private, DMZ e Azure Bastion.

$subnetConfigPublicParams = @{
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigBastionParams = @{
    Name = "AzureBastionSubnet"
    AddressPrefix = "10.0.1.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPrivateParams = @{
    Name = "subnet-private"
    AddressPrefix = "10.0.2.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigDmzParams = @{
    Name = "subnet-dmz"
    AddressPrefix = "10.0.3.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subnetConfigPublicParams
$subnetConfigBastion = Add-AzVirtualNetworkSubnetConfig @subnetConfigBastionParams
$subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subnetConfigPrivateParams
$subnetConfigDmz = Add-AzVirtualNetworkSubnetConfig @subnetConfigDmzParams

Scrivere le configurazioni della subnet nella rete virtuale con Set-AzVirtualNetwork, che consente di creare le subnet nella rete virtuale:

$virtualNetwork | Set-AzVirtualNetwork

Creare Azure Bastion

Creare un indirizzo IP pubblico per l'host Azure Bastion con New-AzPublicIpAddress. Nell'esempio seguente viene creato un indirizzo IP pubblico denominato public-ip-bastion nella rete virtuale vnet-1.

$publicIpParams = @{
    ResourceGroupName = "test-rg"
    Name = "public-ip-bastion"
    Location = "EastUS2"
    AllocationMethod = "Static"
    Sku = "Standard"
}
New-AzPublicIpAddress @publicIpParams

Creare un host Azure Bastion con New-AzBastion. Nell'esempio seguente viene creato un host Azure Bastion denominato bastion nella subnet AzureBastionSubnet della rete virtuale vnet-1. Azure Bastion viene usato per connettere in modo sicuro le macchine virtuali di Azure senza esporle alla rete Internet pubblica.

$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-1"
    PublicIpAddressName = "public-ip-bastion"
    PublicIpAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams -AsJob

CLI

Creare un gruppo di risorse con az group create per tutte le risorse create in questo articolo.

# Create a resource group.
az group create \
    --name test-rg \
    --location eastus2

Creare una rete virtuale con una subnet con az network vnet create.

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

Creare altre due subnet con az network vnet subnet create.

# Create a bastion subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --address-prefix 10.0.1.0/24

# Create a private subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-private \
    --address-prefix 10.0.2.0/24

# Create a DMZ subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-dmz \
    --address-prefix 10.0.3.0/24

Creare Azure Bastion

Creare un indirizzo IP pubblico per l'host Azure Bastion con az network public-ip create. Nell'esempio seguente viene creato un indirizzo IP pubblico denominato public-ip-bastion nella rete virtuale vnet-1.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-bastion \
    --location eastus2 \
    --allocation-method Static \
    --sku Standard

Creare un host Azure Bastion con az network bastion create. Nell'esempio seguente viene creato un host Azure Bastion denominato bastion nella subnet AzureBastionSubnet della rete virtuale vnet-1. Azure Bastion viene usato per connettere in modo sicuro le macchine virtuali di Azure senza esporle alla rete Internet pubblica.

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --vnet-name vnet-1 \
    --public-ip-address public-ip-bastion \
    --location eastus2 \
    --sku Basic \
    --no-wait

Creare una macchina virtuale appliance virtuale di rete

Le appliance virtuali di rete (appliance virtuali) sono macchine virtuali utili per le funzioni di rete, ad esempio l'ottimizzazione del routing e del firewall. In questa sezione viene creata un'appliance virtuale di rete usando una macchina virtuale Ubuntu 24.04.

Portale

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. Selezionare + Crea, quindi Macchina virtuale di Azure.

3. In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:

   Impostazione	valore
   Dettagli del progetto
   Abbonamento	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Nome della macchina virtuale	Immettere vm-nva.
   Region	Selezionare (Stati Uniti) Stati Uniti orientali 2.
   Opzioni di disponibilità	Selezionare Nessuna ridondanza dell'infrastruttura necessaria.
   Tipo di sicurezza	Selezionare Standard.
   Immagine	Selezionare Ubuntu Server 24.04 LTS - x64 Gen2.
   Architettura della macchina virtuale	Lasciare il valore predefinito x64.
   Dimensione	Selezionare una dimensione.
   Account amministratore
   Tipo di autenticazione	selezionare Chiave pubblica SSH.
   Nome utente	Immettere un nome utente.
   Origine chiave pubblica SSH	Selezionare Genera nuova coppia di chiavi.
   Nome della coppia di chiavi	Immettere vm-nva-key.
   Regole porta in ingresso
   Porte in ingresso pubbliche	Selezionare Nessuno.

4. Selezionare Avanti: Dischi e quindi Avanti: Rete.

5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

   Impostazione	valore
   Interfaccia di rete
   Rete virtuale	Selezionare vnet-1.
   Subnet	Selezionare subnet-dmz (10.0.3.0/24).
   IP pubblico	Selezionare Nessuno.
   Gruppo di sicurezza di rete della scheda di interfaccia di rete	Fare clic su Avanzate.
   Configura gruppo di sicurezza di rete	Selezionare Crea nuovo. In Nome immettere nsg-nva. Selezionare OK.

6. Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.

7. Selezionare Crea.

PowerShell

Creare la macchina virtuale con New-AzVM. L'esempio seguente crea una macchina virtuale denominata vm-nva.

# Create a credential object
$cred = Get-Credential

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-nva"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-dmz"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-nva-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

CLI

Creare una macchina virtuale da usare come appliance virtuale di rete nella subnet subnet-dmz con az vm create.

az vm create \
    --resource-group test-rg \
    --name vm-nva \
    --image Ubuntu2204 \
    --public-ip-address "" \
    --subnet subnet-dmz \
    --vnet-name vnet-1 \
    --admin-username azureuser \
    --generate-ssh-keys

La creazione della macchina virtuale richiede alcuni minuti. Non continuare con il passaggio successivo fino a quando Azure non completa la creazione della macchina virtuale e restituisce l'output per la macchina virtuale.

Creare macchine virtuali pubbliche e private

Creare due macchine virtuali nella rete virtuale vnet-1. Una macchina virtuale si trova nella subnet-1 e l'altra si trova nella subnet-private. Usare la stessa immagine di macchina virtuale per entrambe le macchine virtuali.

Creare la macchina virtuale pubblica

La macchina virtuale pubblica viene usata per simulare un computer in Internet pubblico. Le macchine virtuali sia pubbliche che private vengono usate per testare il routing del traffico di rete attraverso la macchina virtuale NVA.

Portale

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. Selezionare + Crea, quindi Macchina virtuale di Azure.

3. In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:

   Impostazione	valore
   Dettagli del progetto
   Abbonamento	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Nome della macchina virtuale	Immettere vm-public.
   Region	Selezionare (Stati Uniti) Stati Uniti orientali 2.
   Opzioni di disponibilità	Selezionare Nessuna ridondanza dell'infrastruttura necessaria.
   Tipo di sicurezza	Selezionare Standard.
   Immagine	Selezionare Ubuntu Server 24.04 LTS - x64 Gen2.
   Architettura della macchina virtuale	Lasciare il valore predefinito x64.
   Dimensione	Selezionare una dimensione.
   Account amministratore
   Tipo di autenticazione	selezionare Chiave pubblica SSH.
   Nome utente	Immettere un nome utente.
   Origine chiave pubblica SSH	Selezionare Genera nuova coppia di chiavi.
   Nome della coppia di chiavi	Immettere vm-public-key.
   Regole porta in ingresso
   Porte in ingresso pubbliche	Selezionare Nessuno.

4. Selezionare Avanti: Dischi e quindi Avanti: Rete.

5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

   Impostazione	valore
   Interfaccia di rete
   Rete virtuale	Selezionare vnet-1.
   Subnet	Selezionare subnet-1 (10.0.0.0/24).
   IP pubblico	Selezionare Nessuno.
   Gruppo di sicurezza di rete della scheda di interfaccia di rete	Selezionare Nessuno.

6. Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.

7. Selezionare Crea.

Creare la macchina virtuale privata

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. Selezionare + Crea, quindi Macchina virtuale di Azure.

3. In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:

   Impostazione	valore
   Dettagli del progetto
   Abbonamento	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Nome della macchina virtuale	Immettere vm-private.
   Region	Selezionare (Stati Uniti) Stati Uniti orientali 2.
   Opzioni di disponibilità	Selezionare Nessuna ridondanza dell'infrastruttura necessaria.
   Tipo di sicurezza	Selezionare Standard.
   Immagine	Selezionare Ubuntu Server 24.04 LTS - x64 Gen2.
   Architettura della macchina virtuale	Lasciare il valore predefinito x64.
   Dimensione	Selezionare una dimensione.
   Account amministratore
   Tipo di autenticazione	selezionare Chiave pubblica SSH.
   Nome utente	Immettere un nome utente.
   Origine chiave pubblica SSH	Selezionare Genera nuova coppia di chiavi.
   Nome della coppia di chiavi	Immettere vm-private-key.
   Regole porta in ingresso
   Porte in ingresso pubbliche	Selezionare Nessuno.

4. Selezionare Avanti: Dischi e quindi Avanti: Rete.

5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

   Impostazione	valore
   Interfaccia di rete
   Rete virtuale	Selezionare vnet-1.
   Subnet	Selezionare subnet-private (10.0.2.0/24).
   IP pubblico	Selezionare Nessuno.
   Gruppo di sicurezza di rete della scheda di interfaccia di rete	Selezionare Nessuno.

6. Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.

7. Selezionare Crea.

PowerShell

Creare una macchina virtuale nella subnet subnet-1 con New-AzVM. L'esempio seguente crea una macchina virtuale denominata vm-public nella subnet-public della rete virtuale vnet-1.

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-public"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-public-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

Creare una macchina virtuale nella subnet subnet-private.

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-private"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-private-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

La creazione della macchina virtuale richiede alcuni minuti. Non continuare con il passaggio successivo fino a quando non viene creata la macchina virtuale e Azure restituisce l'output a PowerShell.

CLI

Creare una macchina virtuale nella subnet subnet-1 con az vm create. Il parametro --no-wait consente ad Azure di eseguire il comando in background, pertanto è possibile continuare con il comando successivo.

az vm create \
    --resource-group test-rg \
    --name vm-public \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys \
    --no-wait

Creare una macchina virtuale nella subnet subnet-private.

az vm create \
    --resource-group test-rg \
    --name vm-private \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-private \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys

Abilitare l'inoltro IP

Per instradare il traffico attraverso l'appliance virtuale di rete, attivare l'inoltro IP in Azure e nel sistema operativo di vm-nva. Quando l'inoltro IP è abilitato, qualsiasi traffico ricevuto da vm-nva destinato a un indirizzo IP diverso non viene eliminato e viene inoltrato alla destinazione corretta.

Abilitare l'inoltro IP in Azure

In questa sezione viene attivato l'inoltro IP per l'interfaccia di rete della macchina virtuale vm-nva.

Portale

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. In Macchine virtuali selezionare vm-nva.

3. In vm-nva espandere Rete, quindi selezionare Impostazioni di rete.

4. Selezionare il nome dell'interfaccia di rete accanto a Interfaccia di rete:. Il nome inizia con vm-nva e ha un numero casuale assegnato all'interfaccia. Il nome dell'interfaccia in questo esempio è vm-nva313.

   

5. Nella pagina di panoramica dell'interfaccia di rete selezionare Configurazioni IP nella sezione Impostazioni.

6. In Configurazioni IPselezionare la casella accanto a Abilita inoltro IP.

   

7. Selezionare Applica.

PowerShell

Abilitare l'inoltro IP per l'interfaccia di rete della macchina virtuale vm-nva con Set-AzNetworkInterface. Nell'esempio seguente viene abilitato l'inoltro IP per l'interfaccia di rete denominata vm-nva313.

$nicParams = @{
  Name = "vm-nva"
  ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @nicParams

$nic.EnableIPForwarding = $true

Set-AzNetworkInterface -NetworkInterface $nic

CLI

Abilitare l'inoltro IP per l'interfaccia di rete della macchina virtuale vm-nva con az network nic update. Nell'esempio seguente viene abilitato l'inoltro IP per l'interfaccia di rete denominata vm-nvaVMNic.

az network nic update \
    --name vm-nvaVMNic \
    --resource-group test-rg \
    --ip-forwarding true

Abilitare l'inoltro IP nel sistema operativo

In questa sezione viene attivato l'inoltro IP per il sistema operativo dell'interfaccia di rete della macchina virtuale vm-nva per inoltrare il traffico di rete. Usare la funzionalità Esegui comando per eseguire uno script nella macchina virtuale.

Portale

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. In Macchine virtuali selezionare vm-nva.

3. Espandere Operazioni, quindi selezionare Esegui comando.

4. Selezionare EseguiShellScript.

5. Immettere lo script seguente nella finestra Esegui script di comando :

   sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
   sudo sysctl -p
   

6. Selezionare Esegui.

7. Attendere il completamento dello script. L'output mostra che l'impostazione di inoltro IP è stata abilitata.

8. Tornare alla pagina Panoramica di vm-nva e selezionare Riavvia per riavviare la macchina virtuale.

PowerShell

Abilitare l'inoltro IP nel sistema operativo della macchina virtuale vm-nva con Invoke-AzVMRunCommand. Nell'esempio seguente viene abilitato l'inoltro IP nel sistema operativo.

$runCommandParams = @{
    ResourceGroupName = "test-rg"
    VMName = "vm-nva"
    CommandId = "RunShellScript"
    ScriptString = @"
sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
sudo sysctl -p
"@
}
Invoke-AzVMRunCommand @runCommandParams

CLI

Abilitare l'inoltro IP nel sistema operativo della macchina virtuale vm-nva con az vm run-command invoke. Nell'esempio seguente viene abilitato l'inoltro IP nel sistema operativo.

az vm run-command invoke \
    --resource-group test-rg \
    --name vm-nva \
    --command-id RunShellScript \
    --scripts "sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf" "sudo sysctl -p"

Creare una tabella di route

In questa sezione viene creata una tabella di route per definire la route del traffico attraverso la VM appliance virtuale di rete. La tabella di route è associata alla subnet subnet-1 in cui è distribuita la macchina virtuale vm-public.

Portale

1. Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.

2. Selezionare [+] Create ([+] Crea).

3. In Crea tabella di route immettere o selezionare le informazioni seguenti:

   Impostazione	valore
   Dettagli del progetto
   Abbonamento	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Region	Selezionare Stati Uniti orientali 2.
   Nome	Immettere route-table-public.
   Propagare le route del gateway	Lasciare l'impostazione predefinita Sì.

4. Selezionare Rivedi e crea.

5. Selezionare Crea.

Creare una route

In questa sezione viene creata una route all'interno della tabella di route creata nei passaggi precedenti.

1. Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.

2. Selezionare route-table-public.

3. Espandere Impostazioni, quindi selezionare Route.

4. Selezionare + Aggiungi in Route.

5. Immettere o selezionare le informazioni seguenti in Aggiungi route:

   Impostazione	valore
   Nome route	Immettere to-private-subnet.
   Tipo destinazione	Selezionare Indirizzi IP.
   Intervalli di CIDR/indirizzi IP di destinazione	Immettere 10.0.2.0/24.
   Tipo hop successivo	Selezionare Appliance virtuale.
   Indirizzo hop successivo	Immettere 10.0.3.4. Questo è l'indirizzo IP della vm-nva creata nei passaggi precedenti.

6. Selezionare Aggiungi.

7. Selezionare subnet in Impostazioni.

8. Selezionare + Associa.

9. Immettere o selezionare le informazioni seguenti in Associa subnet:

   Impostazione	valore
   Rete virtuale	Selezionare vnet-1 (test-rg).
   Subnet	Selezionare subnet-1.

10. Selezionare OK.

PowerShell

Creare una tabella di route con New-AzRouteTable. Nell'esempio seguente viene creata una tabella di route denominata route-table-public.

$routeTableParams = @{
    Name = 'route-table-public'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
}
$routeTablePublic = New-AzRouteTable @routeTableParams

Creare una route recuperando l'oggetto tabella di route con Get-AzRouteTable, creare una route con Add-AzRouteConfig, quindi scrivere la configurazione della route nella tabella di route con Set-AzRouteTable.

$routeTableParams = @{
    ResourceGroupName = "test-rg"
    Name = "route-table-public"
}

$routeConfigParams = @{
    Name = "to-private-subnet"
    AddressPrefix = "10.0.2.0/24"
    NextHopType = "VirtualAppliance"
    NextHopIpAddress = "10.0.3.4"
}

$routeTable = Get-AzRouteTable @routeTableParams
$routeTable | Add-AzRouteConfig @routeConfigParams | Set-AzRouteTable

Associare la tabella di route alla subnet subnet-1 con Set-AzVirtualNetworkSubnetConfig. Nell'esempio seguente viene associata la tabella di route route-table-public con la subnet subnet-1.

$vnetParams = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$virtualNetwork = Get-AzVirtualNetwork @vnetParams

$subnetParams = @{
    VirtualNetwork = $virtualNetwork
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    RouteTable = $routeTablePublic
}
Set-AzVirtualNetworkSubnetConfig @subnetParams | Set-AzVirtualNetwork

CLI

Creare una tabella di route con az network route-table create. Nell'esempio seguente viene creata una tabella di route denominata route-table-public.

# Create a route table
az network route-table create \
    --resource-group test-rg \
    --name route-table-public

Creare una route nella tabella di route con az network route-table route create.

az network route-table route create \
    --name to-private-subnet \
    --resource-group test-rg \
    --route-table-name route-table-public \
    --address-prefix 10.0.2.0/24 \
    --next-hop-type VirtualAppliance \
    --next-hop-ip-address 10.0.3.4

Associare la tabella di route route-table-subnet-public alla subnet subnet-1 con az network vnet subnet update.

az network vnet subnet update \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --resource-group test-rg \
    --route-table route-table-public

Testare il routing del traffico di rete

Testare il routing del traffico di rete da vm-public a vm-private. Testare il routing del traffico di rete da vm-private a vm-public.

Testare il traffico di rete da vm-public a vm-private

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. In Macchine virtuali selezionare vm-public.

3. Nella sezione Panoramica, selezionare Connetti quindi selezionare Connetti tramite Bastion.

4. Nella pagina Connessione Bastion immettere o selezionare le informazioni seguenti:

   Impostazione	valore
   Tipo di autenticazione	Selezionare Chiave privata SSH da File locale.
   Nome utente	Immettere il nome utente creato.
   File locale	Selezionare il file di chiave privata vm-public-key scaricato.

5. Selezionare Connetti.

6. Nel prompt immettere il comando seguente per tracciare il routing del traffico di rete da vm-public a vm-private:

   tracepath vm-private
   

   La risposta restituita è simile all'esempio seguente:

   azureuser@vm-public:~$ tracepath vm-private
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-nva.internal.cloudapp.net                          1.766ms 
    1:  vm-nva.internal.cloudapp.net                          1.259ms 
    2:  vm-private.internal.cloudapp.net                      2.202ms reached
    Resume: pmtu 1500 hops 2 back 1 
   

   È possibile notare che in questa risposta sono presenti due hop per il tracepath traffico ICMP da vm-public a vm-private. Il primo hop è vm-nva. Il quinto hop è la macchina virtuale vm-private di destinazione.

   Azure ha inviato il traffico da subnet-1 attraverso l'appliance virtuale di rete e non direttamente a subnet-private perché in precedenza è stata aggiunta la route to-private-subnet a route-table-public ed è stata associata a subnet-1.

7. Chiudere la sessione di Bastion.

Testare il traffico di rete da vm-private a vm-public

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. In Macchine virtuali selezionare vm-private.

3. Nella sezione Panoramica, selezionare Connetti quindi selezionare Connetti tramite Bastion.

4. Nella pagina Connessione Bastion immettere o selezionare le informazioni seguenti:

   Impostazione	valore
   Tipo di autenticazione	Selezionare Chiave privata SSH da File locale.
   Nome utente	Immettere il nome utente creato.
   File locale	Selezionare il file di chiave privata vm-private-key scaricato.

5. Selezionare Connetti.

6. Nel prompt immettere il comando seguente per tracciare il routing del traffico di rete da vm-private a vm-public:

   tracepath vm-public
   

   La risposta restituita è simile all'esempio seguente:

   azureuser@vm-private:~$ tracepath vm-public
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-public.internal.cloudapp.net                       2.584ms reached
    1:  vm-public.internal.cloudapp.net                       2.147ms reached
    Resume: pmtu 1500 hops 1 back 2 
   

   È possibile notare che è presente un hop in questa risposta, ovvero la destinazione vm-public.

   Azure ha inviato il traffico direttamente da subnet-private a subnet-1. Per impostazione predefinita, Azure instrada il traffico direttamente tra subnet.

7. Chiudere la sessione di Bastion.

Portale

Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse che contiene.

1. Accedere al portale di Azure e selezionare Gruppi di risorse.

2. Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.

3. Nella pagina test-rg selezionare Elimina gruppo di risorse.

4. Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.

PowerShell

Quando non sono più necessari, usare Remove-AzResourcegroup per rimuovere il gruppo di risorse e tutte le risorse contenute.

$rgParams = @{
    Name = "test-rg"
}
Remove-AzResourceGroup @rgParams -Force

CLI

Quando il gruppo di risorse e tutte le risorse in esso contenute non sono più necessari, usare az group delete per rimuoverli.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Passaggi successivi

In questa esercitazione:

• È stata creata una tabella di route per poi associarla a una subnet.

• È stata creata una semplice appliance virtuale di rete che ha indirizzato il traffico da una subnet pubblica a una subnet privata.

È possibile distribuire varie appliance virtuali di rete preconfigurate che offrono numerose funzioni utili da Azure Marketplace.

Per altre informazioni sul routing, vedere Panoramica del routing e Gestire una tabella di route. Il routing può anche essere configurato automaticamente su larga scala con la funzionalità di gestione della route definita dall'utente (UDR) di Azure Virtual Network Manager .

Per informazioni su come limitare l'accesso di rete alle risorse PaaS con gli endpoint servizio di rete virtuale, passare all'esercitazione successiva.

Limitare l'accesso alla rete con gli endpoint servizio